Открепленная квалифицированная электронная подпись формирует отдельный файл .sig рядом с документом, не меняя сам документ ни на байт. Так подписывают там, где важно сохранить исходник читаемым в любой программе — на торговых площадках, в ФНС, на Росреестре. Разберём, чем открепленная подпись отличается от присоединённой, как создать sig-файл через КриптоПро и КриптоАРМ, какой нужен софт, какое расширение требуют площадки и как проверить готовую подпись. Тема входит в большой материал про подписание документов электронной подписью, где собраны способы для PDF, Word, Excel и онлайн-сервисов.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое открепленная квалифицированная электронная подпись
Открепленная подпись — это файл .sig (реже .p7s), который хранится отдельно от подписанного документа. При таком способе у вас на руках всегда два файла: исходный документ и файл подписи к нему. Документ остаётся в первоначальном виде. Договор.pdf открывается обычным просмотрщиком, накладная.xlsx — Экселем, и для этого не нужна никакая крипта. А вот рядом ляжет ещё один маленький файлик — договор.pdf.sig, в котором лежит само криптографическое значение подписи и квалифицированный сертификат подписанта.
Квалифицированная она потому, что создаётся усиленной квалифицированной электронной подписью — той самой УКЭП, которую профи называют просто КЭП. По статье 5 закона 63-ФЗ «тройки», как его называют в кадровой и айтишной среде, есть три вида подписи: простая, усиленная неквалифицированная и усиленная квалифицированная. Только последняя по статье 6 равнозначна собственноручной подписи на бумаге без всяких дополнительных соглашений между сторонами. Поставил КЭП — и документ юридически равен бумажному с печатью.
Зачем вообще разделять документ и подпись? Логика простая. Получателю не нужно ставить специальный софт, чтобы прочитать ваш документ — он открывает исходник как обычно. Подпись проверит отдельно, когда понадобится. И это удобно для пересылки: кинул в архив оба файла, отправил, и человек на той стороне сам решает, проверять подпись прямо сейчас или потом.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Главная путаница у новичков — расширение. Госуслуги или площадка ждут .sig, а КриптоПро по умолчанию лепит .p7s. Документ формально подписан правильно, но система его не принимает — расширение не то. Лечится переименованием файла перед сохранением, ничего больше делать не надо.»
Чем открепленная подпись отличается от присоединённой
Два формата, две разные логики хранения. При присоединённой подписи подпись встраивается внутрь документа — получается один файл, в котором лежит и сам документ, и подпись поверх него. Плюс: ничего не потеряешь, всё в одной «папочке». Минус: открыть такой файл и достать оттуда исходный документ без специальной программы не получится. Нужен КриптоАРМ, КриптоПро или плагин, который умеет разворачивать присоединённую подпись.
При открепленной подписи документ и подпись лежат рядом двумя файлами. Документ читается чем угодно, подпись проверяется отдельно. Минус ровно один — файлы нельзя разлучать. Потеряли sig — подпись не проверить. Потеряли исходник — sig сам по себе бесполезен, документа внутри него нет.
Когда что выбирать. Открепленная — если документ должен оставаться читаемым у получателя без всякого софта и если площадка прямо требует .sig (ФНС, Росреестр, ЕИС, Сбербанк-АСТ, РТС-Тендер работают именно с этим форматом). Присоединённая — когда удобнее переслать одним файлом или когда важна визуальная плашка «Подписано электронной подписью» прямо в теле Word или PDF.
Форматы CAdES и CMS — что это значит на практике
Технически открепленная подпись упаковывается в контейнер. Базовый формат — CMS (он же по старинке PKCS#7). Усовершенствованные форматы — семейство CAdES, и вот тут начинается то, ради чего стоит читать дальше. CAdES-BES — простая подпись без метки времени. CAdES-T добавляет штамп времени от доверенной службы. CAdES-A — архивный формат для долгосрочного хранения, когда документ должен пережить смену криптоалгоритмов и истечение сертификата.
Почему это важно. Сертификат КЭП действует ограниченный срок — сейчас до 15 месяцев. А документ может понадобиться в суде через три года, когда сертификат давно истёк. Без штампа времени вы не докажете, в какой момент подписывали — а значит, не докажете, что подпись была действительна на дату подписания. Поэтому для важных документов имеет смысл сразу подписывать в формате со штампом времени.
Мария Ж, судебный эксперт по трудовому праву:
«В судебной практике по КЭДО уже были дела, где работники оспаривали увольнение по электронной подписи. Суд смотрит не на штампик-визуализацию в PDF — он ничего не значит, это просто картинка. Суд требует исходный документ и файл подписи, проверяет, что сертификат действовал на момент подписания и документ не меняли. Вот тут метка времени и спасает — без неё момент подписания формально не определён.»
Что нужно для создания открепленной подписи
Минимальный технический набор примерно одинаков для всех способов. Без него браузер или программа просто не увидят ваш сертификат.
- Криптопровайдер КриптоПро CSP версии 5.0 R2 (сборка 12000 и выше) или 5.0 R3 — именно «пятёрка» умеет работать с токенами в режиме неизвлекаемого ключа.
- Драйверы ключевого носителя — Рутокен, JaCarta, eSmart, в зависимости от вашей «флешки».
- Квалифицированный сертификат, выданный аккредитованным удостоверяющим центром. Для руководителя организации и ИП — УЦ ФНС России или его доверенные лица.
- Закрытый ключ («закрытка») — он живёт на токене и при подписании не покидает чип.
- Для онлайн-сервисов дополнительно — КриптоПро ЭЦП Browser Plug-in и расширение криптоплагина для вашего браузера.
Корневые сертификаты Минцифры России и УЦ ФНС тоже должны стоять в системе — без них при подписании криптопровайдер ругнётся, что цепочка сертификатов не выстраивается. Для КЭП эта цепочка обычно устанавливается на токен по умолчанию при выпуске сертификата.
Образцы документов и инструкции по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя по сервису Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о направлении на курсы повышения квалификации | Скачать |
| Образец личной карточки работника | Скачать |
Как подписать документ открепленной КЭП через КриптоПро
Самый распространённый способ — через «Инструменты КриптоПро» (модуль КриптоПро ЭЦП) либо через контекстное меню в проводнике, если у вас стоит интеграционный модуль. Принцип один: выбираете файл, выбираете сертификат, указываете тип подписи «отсоединённая» и сохраняете результат.
КриптоПро CSP 5.0 по умолчанию формирует подпись в формате CAdES и с расширением .p7s. Если информационная система или площадка требует именно .sig — расширение надо поменять в поле «Сохранить подпись как» перед нажатием кнопки подписания. Вместо «договор.pdf.p7s» пишете «договор.pdf.sig», и файл сразу создаётся с нужным расширением. Это та самая мелочь, на которой спотыкается половина новичков.
В практике сервиса Добыто мы видим эту ошибку постоянно — человек подписал корректно, КЭП валидная, а площадка отбивает документ. Разбираемся — оказывается, дело только в расширении файла подписи. Поэтому правило простое: перед подписанием выясните, какое расширение ждёт ваша конкретная система.
Как создать открепленную подпись в КриптоПро: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Подключите токен с квалифицированным сертификатом в USB-порт. Убедитесь, что КриптоПро CSP видит сертификат — вкладка «Сервис» — «Просмотреть сертификаты в контейнере».
- Шаг 2. Откройте «Инструменты КриптоПро» (КриптоПро ЭЦП) и перейдите в раздел «Подпись документов».
- Шаг 3. Добавьте файл, который нужно подписать. Это может быть PDF, Word, Excel, XML, изображение или архив — открепленная подпись не зависит от формата документа.
- Шаг 4. Установите галочку «Сохранить подпись в отдельном файле» (отсоединённая / открепленная подпись). Если нужен штамп времени для долгосрочного хранения — выберите усовершенствованный формат CAdES-T.
- Шаг 5. Выберите личный сертификат КЭП из списка. При необходимости в поле имени файла подписи замените расширение .p7s на .sig.
- Шаг 6. Нажмите «Подписать», введите PIN-код токена. Рядом с документом появится файл подписи. Храните пару «документ + sig» вместе.
Как подписать открепленной подписью через КриптоАРМ
КриптоАРМ ГОСТ 3 — универсальное средство подписи от Цифровых Технологий, работает в связке с КриптоПро CSP. Сертифицировано ФСБ России в составе КриптоПро CSP по классам КС1 и КС2. Подходит, когда нужно не только подписать, но и зашифровать файл, проверить чужую подпись или организовать защищённую отправку по почте — в программе есть встроенный почтовый клиент со стандартом S/MIME.
Для открепленной подписи в КриптоАРМ запускаете мастер подписи, добавляете документ, в настройках выбираете тип подписи «отсоединённая» (sig отдельным файлом), указываете сертификат и формат — CMS или усовершенствованный CAdES со штампом времени. Программа поддерживает стандарты ЦМС и КАДИС, в том числе КАДИС-А для архивного хранения. На выходе — тот же sig-файл рядом с документом.
Отдельная фишка — мобильная версия КриптоАРМ ГОСТ умеет подписывать бесконтактно через NFC. Прикладываете токен или смарт-карту к телефону, и подпись формируется «на борту» чипа. Удобно, когда нет под рукой компьютера, а документ надо подписать срочно.
Мария Ж, юрист со стажем более 20 лет:
«Многие думают, что для открепленной подписи нужен какой-то особый сертификат. Нет. Сертификат один и тот же — что для присоединённой, что для открепленной, что для подписи в PDF. Открепленная или присоединённая — это просто способ упаковки результата, а не вид подписи. Выбираете его галочкой в момент подписания, и всё.»
Если документов много, а разбираться с расширениями .sig и .p7s, форматами CAdES и установкой плагинов некогда — подписание можно отдать системе, которая делает это сама. В сервисе Добыто сотрудник подписывает кадровый документ в один клик, а формат подписи и метку времени система проставляет автоматически, без ручной возни с КриптоАРМ.
Как подписать открепленной подписью онлайн
Если ставить КриптоАРM не хочется, подписать можно прямо в браузере. Для этого нужны КриптоПро CSP и КриптоПро ЭЦП Browser Plug-in — без них браузер не увидит сертификат на токене или в реестре. Дальше открываете онлайн-сервис подписи, загружаете файл, выбираете тип «открепленная» и сертификат.
Перед запуском подписания стоит определить тип носителя и проверить, что токен виден в персональном менеджере КриптоПро. Если процесс зависает дольше 30 секунд — чаще всего проблема в том, что носитель не определился, или браузер не получил доступ к плагину. Помогает перезагрузка браузера и повторное подключение токена.
В сервисе Добыто.Подпись процесс показывает прогресс наглядно: видно, когда криптопровайдер считает хеш документа, когда обращается к токену и когда упаковывает результат в sig. С марта 2026 для PDF доступна ещё и встроенная подпись — штамп прямо в теле документа, если получателю важна визуальная отметка.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Где требуется именно открепленная подпись
Формат .sig запрашивают конкретные системы, и список этот стоит держать в голове. ФНС — при отправке отчётности и документов через её сервисы. Росреестр — сделки с недвижимостью. Электронные торговые площадки — ЕИС, Сбербанк-АСТ, РТС-Тендер. Иски в суд через «Мой Арбитр» и ГАС «Правосудие». На портале Госуслуг открепленную подпись можно не только использовать, но и проверить — загрузив оба файла, документ и sig.
Логика везде одна: ведомству или площадке нужен исходный документ в неизменном виде плюс отдельный файл подписи, который можно прогнать через проверку. Распечатка со штампиком «Подписано ЭП» юридической силы не несёт — это нарисованная картинка, а не подпись. Доказательную силу имеет электронный оригинал с файлом подписи, который реально проверяется криптографически. Подробнее про разные способы создания sig-файла мы разбирали в материале о том, как создать файл электронной подписи в формате SIG — там собраны варианты через КриптоАРМ, Госключ и онлайн.
Требования к конкретной процедуре всегда стоит сверять с первоисточником. Актуальные разъяснения по работе с электронной подписью и государственными сервисами публикует Минцифры — например, на портале Госуслуг есть отдельный сервис проверки подписи и сертификатов.
Типичные ошибки при создании открепленной подписи
Первая и самая частая — неверное расширение файла. Система ждёт .sig, КриптоПро по умолчанию даёт .p7s. Почему так делают: человек просто нажимает «Подписать», не глядя на имя файла. Цена ошибки — документ отбивается площадкой, время потеряно, иногда срок подачи документов уже горит, а вы заново разбираетесь, что не так.
Вторая ошибка — разлучить документ и файл подписа. Отправили один sig без исходника, или наоборот. Делают так по незнанию: кажется, что sig — это и есть подписанный документ. Цена: получатель не может проверить подпись, приходится пересылать заново, а если документ уже ушёл в ведомство — объясняться с проверяющими.
Третья — подписать без штампа времени тот документ, который потом понадобится через годы. Экономят пару кликов и доверенную службу штампа времени. Цена самая дорогая: при споре в суде вы не докажете, что подпись была действительна на момент подписания, и документ могут признать недействительным. Для разовых бытовых документов это некритично, но для договоров и кадровых документов — прямой риск.
Четвёртая — просроченный или отозванный сертификат. Подписали ключом, срок действия которого истёк, либо сертификат уже в списке отозванных. Происходит по невнимательности — сертификат КЭП действует ограниченный срок, и про дату легко забыть. Цена: подпись не пройдёт проверку, документ юридически ничтожен.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«За время работы мы выработали правило: перед массовым подписанием всегда сверяем срок действия сертификатов по всему списку сотрудников. Это экономит клиенту кучу нервов — иначе на середине рассылки выясняется, что у части людей подпись уже протухла, и весь процесс надо начинать заново.»
Стоимость подписания документов через сервис КЭДО Добыто
Сама открепленная подпись через КриптоПро или КриптоАРМ — это про стоимость лицензии криптопровайдера и сертификата, которые вы получаете в удостоверяющем центре. Если же подписание нужно поставить на поток — например, в кадровом документообороте, где документы подписывают десятки и сотни сотрудников — имеет смысл считать стоимость сервиса КЭДО. Она зависит от численности штата, выбранного тарифа и набора подключаемых модулей.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив) | от 50 ₽ за сотрудника / мес | от 50 сотрудников, 30 000 ₽ в год |
| Корпорация — для крупного бизнеса с SLA (выделенный сервер, персональный менеджер, API и кастомные интеграции) | по запросу | всё из тарифа Бизнес |
Итоговая сумма зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Тариф Бизнес поддерживает все три вида подписи, включая УКЭП, которой и создаётся открепленная квалифицированная подпись.
Выводы: открепленная квалифицированная подпись
Открепленная квалифицированная подпись — это отдельный файл .sig (или .p7s) рядом с неизменным документом, созданный усиленной квалифицированной подписью по статье 5 закона 63-ФЗ. Такая подпись по статье 6 равнозначна собственноручной без дополнительных соглашений. Для создания нужны КриптоПро CSP 5.0 R2 или R3, драйверы токена, квалифицированный сертификат из аккредитованного УЦ, а для онлайн-подписания — ещё и браузерный плагин. Документ и файл подписи нельзя разлучать: без одного из них проверка невозможна.
На практике главное — сверить расширение, которое требует ваша система: ФНС, Росреестр и торговые площадки работают с .sig, а КриптоПро по умолчанию выдаёт .p7s, лечится переименованием перед сохранением. Для документов с длительным сроком хранения подписывайте в усовершенствованном формате CAdES со штампом времени — иначе при споре не доказать момент подписания. Перед подписанием проверяйте, что сертификат действителен и не отозван, а цепочка корневых сертификатов установлена.
Срок действия сертификата КЭП сейчас составляет до 15 месяцев, и тренд на цифровизацию документооборота только усиливается — всё больше процедур переходит в электронный вид, от подачи исков до кадровых документов. Поэтому навык работы с открепленной подписью и понимание форматов CAdES перестают быть узкоспециальными и становятся базовыми для любого, кто работает с юридически значимыми документами.
Часто задаваемые вопросы
Чем .sig отличается от .p7s?
Можно ли открыть документ, подписанный открепленной подписью, без специальных программ?
Какой сертификат нужен для открепленной квалифицированной подписи?
Сколько действует сертификат КЭП?
Зачем нужен штамп времени при подписании?
Можно ли подписать открепленной подписью архив или XML?
Что делать, если подписание зависает дольше 30 секунд?
Имеет ли юридическую силу штампик «Подписано электронной подписью» в PDF?
Можно ли проверить открепленную подпись на Госуслугах?
Нужна ли отдельная лицензия КриптоПро для создания открепленной подписи?
Можно ли подписать открепленной подписью с телефона?
Что такое CAdES и чем он отличается от CMS?
Открепленная подпись через КриптоПро и КриптоАРМ — рабочий способ для разовых задач, но когда подписывать нужно регулярно и многим сотрудникам, ручная возня с расширениями, форматами и сроками сертификатов превращается в отдельную работу. Сервис КЭДО Добыто берёт эту техническую часть на себя: сотрудник подписывает документ в один клик, а система сама подбирает формат подписи, проставляет метку времени и фиксирует всю цепочку подписей с отметками времени.
Мы поддерживаем все три вида подписи и работаем со штатными сотрудниками, самозанятыми и ГПХ в одном сервисе. Подписать кадровый документ можно прямо с телефона — в командировке, в отпуске, без похода в отдел кадров.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания документов с телефона — без похода в отдел кадров
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Готовый коннектор с 1С — отправка на подписание одной кнопкой из привычного интерфейса